Dumme Fragen haben nichts mit Sicherheit zu tun
Nicht erst die Aufregung über den angeblich erfolgten Hack der Yahoo-Emailadresse der Kandidatin für die US-Vizepräsidentenposten Sarah Palin (siehe hierzu diesen Heise-Beitrag) brachte wieder mal die Unbrauchbarkeit von „Sicherheitsfragen“ in die Öffentlichkeit. Es wurde wieder mal deutlich, dass „Secret Questions“ keine Sicherheit schaffen – sondern allenfalls weitere (unnötige) Angriffspunkte zum Missbrauch.
Viele Onlinedienste speichern neben dem Zugangsnamen und geheimen Passwort auch die „geheime“ Antwort auf eine oder mehrere Fragen, die der Benutzer entweder selbst formulieren kann, oder die vom System vorgegeben ist.
Ich möchte hier erläutern, warum solch ein System kein sicheres System ist und keinesfalls verwendet werden sollte.
Zu unterscheiden ist zwischen zwei Varianten:
Der vorgegebenen Frage (bzw. einer kurzen Auswahl mehrerer Fragen) und der frei zu definierenden Frage.
Die vorgegebene Frage lautet z.B. „Wie ist der Geburtsname Ihrer Mutter“ oder „Wie heißt Ihr Geburtsort“. Beides keine besonders großen Geheimnisse.
Manchmal stehen 5 Fragen zur Auswahl, manchmal ist 1 vorgegeben. Der einzige Unterschied ist, dass es 5mal so aufwändig ist die Antwort auf 5 unsichere Fragen zu recherchieren, als die Antwort auf 1 Frage. 5 x unsicher ist aber noch lange nicht sicher.
Man kann natürlich auch der zu verifizierenden Person selbst die Formulierung nicht nur der Antwort, sondern auch der Frage überlassen.
Doch auch das ist keine gute Idee, denn meist wird er keine gute Frage formulieren können oder wollen. Denn was könnte eine gute Frage sein? Eigentlich nur etwas so privates und intimes, dass man es NIE einem anderen Menschen mitteilen würde. Doch gerade das wird natürlich NIEMAND an so einer Stelle eingeben und ggf. würde er/sie es auch keinem Call-Center-Agent mitteilen wollen. Alle Fragen und Antworten darauf sind also per se untauglich, da man Geheimnisse eben NICHT verrät.
In jedem Fall wird eine nicht besonders geheime Information auf eine bekannte oder einfache Frage zum Kriterium über den Identitätsnachweis einer Person.
Die richtige Antwort auf diese Fragen wird aber gerade als ein Kriterium für den Beweis der Identität herangezogen – wozu sollten sie sonst gut sein.
Eine grobe Gefährdung der Sicherheit persönlicher Daten!
Ein untaugliches Kriterium zum Identitätsnachweis wird aber auch dadurch nicht besser, dass es zusammen mit anderen kombiniert wird. Zumal man sich das konkrete Szenario eines Call-Center-Agents vorstellen muss, der einen genervten Anrufer an der Leitung hat, der ungeduldig ist, unfreundlich wird und sich darüber beschwert, warum das mit dem Zugang so kompliziert ist und man ihm nicht glaubt, dass er der Anrufer ist. Nicht nur Psychologen werden sich gut vorstellen können, das der geplagte Call Center Agent im Zweifel lieber dem Anrufer vertraut, als ihm nicht zu vertrauen, das Gespräch daduch in die Länge zu ziehen und den Kunden zu verärgern.
Warum aber sollte der Geburtsname der Mutter als Kriterium für Sicherheit taugen? Ich weiß es nicht, aber ich kann mir zahlreiche Möglichkeiten vorstellen, für jeden beliebigen Menschen den Geburtsnamen der Mutter zu erfahren:
Szenario 1: „Marktforschung“:
Anruf beim zu kompromittierenden selbst und Behauptung man möchte ein telefonisches Interview für Marktforrschungszwecke durchführen. Neben anderen unverfänglichen Fragen, die dem Gespräch Glaubwürdigkeit verleihen, wird die Frage nach dem Geburtsnamen der Mutter, ggf. auch nach dem Geburtsort etc. gestellt. Mit größter Wahrscheinlichkeit wird diese Information unbedenklich vom interviewten preisgegeben.
Szenario 2: „Gespräch mit dem Nachbarn“
Anruf beim Nachbarn der zu komprommittierden Person. Der Nachbar wird unter einem Vorwand in ein Gespräch verwickelt …. und wenn er die Person kennt – vielleicht sogar schon länger und auch mit der Familiensituation vertraut ist – nach den zu erschnüffelnden Informationen gefragt.
Szenario X:
Gespräche in denen die gewünschten Informationen zu erfragen sind lassen sich mit vielen anderen Menschen führen, mit Schulen, Behörden, Kollegen, Versicherungen, Vermietern, Arbeitgebern, Hobbyfreunden etc. .
Natürlich kann man auch im Internet suchen und bei Prominenten oder Menschen mit einem überdurchschnittlichen Selbstdarstellungsbedürfnis wird man auch dort Antwort auf die Fragen finden.
Also bitte: Sicherheitsverantwortliche aller Länder, beendet diesen Schwachsinn!
Nachtrag 2011-02-14: Eine extremes Beispiel für den Einsatz von „secret questions“ und verquerer Sicherheitskonzeption erlebte ich heute beim Versuch der Aktivierung meines Kontos bei der Bank of Scotland. Zunächst einmal fällt auf, dass man Passworte nicht von entsprechender Software in die Felder der Webseite eingeben kann – das soll wohl zu mehr Sicherheit führen indem es verhindert, dass die Kunden die Passworte auf dem Computer speichern? Tut es aber nicht, denn diese Blockade funktioniert per Javascript. Schaltet man Javascript ab – was von Sicherheitsexperten auch heute noch angeraten wird – funktioniert das Einfügen des Passwortes natürlich – aber die Webseite zur Kontoaktiverung (und wahrscheinlich das gesamte Onlinebanking) nicht. Also: Die Webseite zur Aktivierung des Kontos funktioniert nur, wenn der Benutzer Javascript aktiviert hat, eine Technik, die grundsätlich Sicherheitslücken mitbringt. Diese Behinderung führt letzlich nur dazu, dass man anstelle eines sicheren langen Passwortes (aus der verschlüsselten Passwortdatei) ein kurzes unsicheres verwendet, da man dieses schneller tippen kann.Hat man diese erste Hürde übersprungen fragt das System den neuen Kunden gleich nach 6 Sicherheitsfragen und Antworten darauf. Die Fragen kann man nicht frei wählen, sondern es sind Fragen vorgegeben wie: „Auf was für einem Auto haben Sie Ihren Führerschein gemacht.“ Eine ganz besonders sichere Frage übrigens: Ich bin Jahrgang 1964 – es war also ein VW Golf. Wäre ich 20 Jahre älter, wäre es ein VW Käfer gewesen, was sonst? Doch da auch den Verantwortlichen wohl klar ist, dass eine solche Frage nicht sehr sicher ist, hat man gleich mehrere davon – was die Sache natürlich auch nicht besser macht, wie bereits hinlänglich erläutert.
Erschreckend auch, dass hier nicht nachzulesen ist, wie diese Antworten auf Sicherheitsfragen eingesetzt werden. Laut Telefonaussage des Kundenservice als zusätzliche Frage, die ZUSAMMEN mit dem Passwort exakt (!) passen muss. Das steht aber nirgends nachzulesen und ehrlich gesagt glaube ich auch nicht, dass man einem Kunden Zugang verwehrt, nur weil er „VW Golf“ statt „Volkswagen Golf I“ geantwortet hat. Es ist also zu befürchten, das eine mehr oder weniger korrekte Antwort auf eine oder mehrere dieser Fragen herangezogen wird um die Authentizität eines Kunden zu akzeptieren – etwa um ihm die Vergabe eines neuen Passwortes zu ermöglichen. Aber wie gesagt – das ist Spekulation, die Bank äußert sich auf der Seite, auf der sie dieses Sicherheitssystem zur Pflicht für neue Kunden macht, nicht näher dazu und die telefonische Kundenberatung teilte mir mit, dass ich ja kein Konto eröffnen muss, wenn ich das System nicht akzeptiere.
OK, hat mich überzeugt – kein Konto bei dieser Bank!
ACHTUNG: Dieser Artikel ist keine Anleitung zur Ausnutzung von Sicherheitsmängeln zum Betrug oder Missbrauch. Dieser Artikel ist eine Aufforderung an die für Datenschutz und -sicherheit Verantwortlichen keine Sicherheitsmechanismen zu verwenden die ein System unsicherer machen.
Foto: Pixomar / FreeDigitalPhotos.net
Eine Antwort
Schön erklärt hat das schon vor 3 Jahren http://www.schneier.com/essay-081.html